Programa de gestión de riesgos


¿Qué es?

Cuando pensamos en el término “riesgo”, muchas personas lo asocian a “lo que podría salir mal”. Aunque es una definición a grandes rasgos correcta y arraigada en un sesgo cognitivo evolutivo, no es completa. Según la norma ISO 31000, el riesgo es “el efecto de la incertidumbre en los objetivos”. Por tanto, cuando hablamos de riesgo, debemos considerarlo una incertidumbre que supone tanto un peligro como una oportunidad.

Así pues, ¿por qué nos preocupa el riesgo? ¿No es parte del ejercicio burocrático o corporativo? Para responder esta pregunta debemos mirar el otro lado de la moneda, es decir, la confianza, que es lo opuesto al riesgo. Por tanto, el objetivo final de los programas de gestión de riesgo es aumentar la confianza, lo que incluye:

  • La confianza que los clientes tienen en nuestros productos, servicios, comportamiento empresarial, etc., que lleva a beneficios más altos, y
  • La confianza que tienen los reguladores de que cumplimos las normas, lo que reduce los costes normativos y de mercado, y
  • La confianza que tienen nuestros empleados en Atlassian, que lleva a una moral alta y a menos problemas.

En un estudio de 2013 desarrollado por el Boston Consulting Group, los clientes identificaron la confianza como una de las principales cualidades que los atraen hacia una marca.

Asumir riesgos es parte de la vida; continuamente los evaluamos y comparamos con los beneficios que obtenemos en consecuencia. En el perfil de riesgo de una empresa los encontramos de muchos tipos: financieros, de marketing, legales/regulatorios, de fraude, de seguridad, operativos, etc., y es preciso equilibrarlos. Los objetivos del Programa de riesgos empresariales (ERM, por sus siglas en inglés) son:

  1. Identificar y analizar los riesgos;
  2. Decidir qué acciones deben tomarse;
  3. Poner en práctica las acciones; e
  4. Informar de la efectividad de dichas acciones.

¿Por qué lo hacemos?

Para crear confianza mediante la eliminación de incertidumbres (es decir, por medio de la gestión de riesgos), deben seguirse dos principios fundamentales: ser abiertos y ser previsibles. Si somos transparentes en cuanto a nuestras filosofías, prácticas y procedimientos, los clientes saben exactamente lo que obtienen. Si somos previsibles, se nos percibe como partners fiables, y esa es la razón de nuestras auditorías periódicas.

La gestión de riesgos de Atlassian tiene dos propósitos principales:

  • Minimizar el número de elementos que no podemos controlar. Siempre habrá cosas fuera de nuestro control. Lo importante es que estemos preparados para manejarlas. Tratamos de reducir la probabilidad de que surjan eventos inesperados al tiempo que nos preparamos para gestionar los que sí lleguen a producirse.
  • Eso nos da margen de maniobra para afrontar los riesgos que decidamos asumir. Cuando la organización afronta numerosos riesgos, aceptar otro más puede parecer desalentador, aunque suponga una gran oportunidad. Sin embargo, si los mencionados riesgos están bajo control, resulta más ventajoso aceptar el nuevo riesgo.

Es útil asemejar el riesgo a la deuda: ambos son activos de capacidad limitada que están a disposición de una organización. Conviene maximizar su empleo en aquellas áreas donde podemos obtener el máximo retorno de la inversión, que es el objetivo de la cartera de riesgos de una empresa equilibrada. Por ejemplo, sería muy poco ventajoso tener un riesgo elevado en nuestras operaciones de nube, lo que conllevaría un mayor número de incidentes y clientes insatisfechos. Por otra parte, podría suponer un gran beneficio experimentar con nuevos usos de nuestros productos. Por tanto, deberíamos minimizar el primer riesgo, lo que nos permitirá aumentar el segundo. Por supuesto, reducir el riesgo a cero puede ser muy costoso (en la mayoría de los casos, imposible) y tal vez no merezca la pena invertir en ello. Cuando tienes un 99,9 % de disponibilidad, añadir más nueves a ese porcentaje resulta progresivamente más difícil. Ese es otro factor a la hora de equilibrar la cartera de riesgos.

Tener un programa de riesgos empresariales (ERM) funcional es:

  • Algo que se considera una buena práctica empresarial. Es una visión consolidada de nuestros principales riesgos y qué podemos hacer para afrontarlos. Nos permite realizar comprobaciones periódicas y asegurarnos de que respondemos a esos riesgos de la manera que pretendemos. Al igual que vamos al médico para confirmar que tenemos un hueso roto y necesitamos descansar y curarnos, ERM confirma la visión implícita de los riesgos que tienen los ejecutivos y cómo de adecuadas son las estrategias de gestión del riesgo. En ocasiones, el proceso también puede mostrar nuevos riesgos que es necesario afrontar.
  • Necesario para satisfacer nuestras obligaciones de cumplimiento normativo actuales y futuras. Nuestras certificaciones nos ayudan a desarrollar confianza entre nuestros clientes, lo que tiene como resultado mayores ingresos y reduce los conflictos en las ventas. SOX, SOC2 e ISO 27001 requieren que mantengamos un programa de ERM, confirmemos de forma periódica los principales riesgos y estrategias de gestión de riesgos con los ejecutivos e informemos al cuerpo de supervisión. A medida que entremos en industrias más reguladas y obtengamos más certificaciones como HIPAA, FedRAMP, etc., tendremos que ser aún más fiables y el escrutinio en torno a nuestro programa de ERM aumentará.
  • Prueba de madurez. A medida que crecemos, necesitamos formalizar prácticas para impulsar las eficiencias operativas y eliminar la incertidumbre (es decir, los riesgos). Esta eficiencia operativa contribuirá a nuestra capacidad de escalar. En resumen, queremos menos sorpresas y validar que el estado de la empresa es realmente el que sabemos y creemos que es.

Atlassian cuenta con un marco que permite gestionar tanto los riesgos estratégicos como los más cotidianos, en el nivel de equipo. Y es así porque existen claras evidencias de que los procesos de gestión de riesgos facilitan la toma de decisiones operativas y estratégicas, lo que redunda en mayores ingresos y menores márgenes operativos.

¿Cómo lo hacemos?

La Evaluación de riesgos empresariales es un proceso completo que realizamos de forma anual y actualizamos regularmente a lo largo del año. Hay muchos puntos que tener en cuenta en el análisis:

  • Hay muchos tipos distintos de evaluaciones de riesgo específicas: fraude, evaluaciones de varios riesgos de seguridad, evaluaciones de varios riesgos operativos, incluidas evaluaciones de impacto empresarial (parte del programa BC/DR), evaluaciones de unidades empresariales individuales (p. ej. Seguridad de la información y Finanzas), etc.
  • Riesgos que han tenido efecto, es decir, incidentes, situaciones de riesgo, análisis posteriores de proyectos y entregables grandes o importantes.
  • Auditorías y evaluaciones internas y externas.
  • Análisis externos de mercados y tendencias globales, por ejemplo, desaceleración económica, tendencias del sector, competencia, etc.
  • Datos y comentarios de proveedores, partners empresariales y clientes.
  • Objetivos y resultado clave y objetivos empresariales de unidades empresariales individuales y de la empresa.
  • Entrevistas exhaustivas con personas de Atlassian.

Cuando recibimos los datos los agregamos, los analizamos para determinar los riesgos y clasificamos estos en función de su probabilidad, su impacto, su velocidad, los beneficios y la efectividad de la gestión del riesgo. Si es necesario, consultamos con responsables empresariales para clarificar la información y asegurar el rumbo a tomar.

Aunque realizamos un seguimiento de los riesgos empresariales, nos centramos en los riesgos elevados sin un beneficio igualmente alto y en aquellas áreas que requieren un examen más atento.

¿Cómo encaja todo en el panorama general?

Mientras que la función de Riesgo y cumplimiento normativo es la que ejecuta el programa (recaba y analiza los datos, informa y hace un seguimiento de la ejecución), el informe periódico de evaluación de riesgos es la visualización unificada del equipo ejecutivo respecto a los riesgos más significativos y el modo de abordarlos. El equipo de Riesgo y cumplimiento normativo puede opinar y asesorar, pero, en última instancia, es el equipo ejecutivo el que decide cuál es la cartera óptima: qué riesgos debemos reducir, cuáles debemos aumentar y hacia dónde debemos dirigir nuestros esfuerzos y recursos.

Por tanto, el informe de evaluación de riesgos suele tenerse en cuenta para la planificación operativa y estratégica, pues ayuda a asignar inversiones y recursos (aunque no es el único impulsor de estas decisiones). También se emplea en la planificación anual de las auditorías internas. El calendario del programa ERM está diseñado de modo que el informe esté preparado hacia finales del año natural. De este modo, también se satisface el requisito de actualizar la información para el Comité de auditoría dos veces al año (en junio y en diciembre).

Se emplea como otro punto de control para determinar el estado del negocio y la empresa. Ayuda a validar o a refutar nuestra “impresión” acerca de las cosas. También supone un elemento más para alinear nuestras metas y objetivos.

Para terminar

Queremos dar a nuestros clientes la confianza de que los riesgos se gestionan de forma adecuada. Aunque hay muchos riesgos bien gestionados, queremos centrarnos en aquellas situaciones en las que el riesgo que aceptamos (de forma implícita o explícita) es demasiado elevado sin un beneficio igualmente elevado. Esta estrategia permite a Atlassian ser ágil en un entorno complejo en el que la gestión del riesgo y el tiempo de comercialización tienen un papel esencial en el desarrollo de una empresa.